Se préparer à faire face à de nouvelles exigences
|
Pour protéger leur réputation et se prémunir des poursuites, toutes les entreprises, qu’elles soient grosses comme Desjardins ou petites comme le sont généralement les cabinets de professionnels, vont devoir satisfaire à des exigences plus élevées en matière de protection des renseignements personnels. |
Au cours des dernières années, les médias ont accordé une place importante à la question de la protection des renseignements personnels, aussi bien dans le secteur public que dans le secteur privé, au gré notamment de fuites survenues au sein de grandes organisations, comme Desjardins. Les gouvernements ont pris note des préoccupations croissantes des citoyens à ce sujet. Ainsi, l’Union européenne a adopté, en 2016, le Règlement général sur la protection des données (RGPD), qui rehausse considérablement les exigences en la matière et qui est souvent cité comme un modèle. Plus près de nous, tant le gouvernement fédéral, avec le projet de loi C-11, que le gouvernement du Québec, avec le projet de loi 64, ont entrepris des réformes législatives similaires, qui ne sont toujours pas finalisées, mais qui conduiront, tôt ou tard, à un rehaussement marqué des exigences en matière de protection des renseignements personnels.
Les cabinets optométriques, de même que les organisations qui leur sont liées (regroupements, franchiseurs, etc.), n’échapperont pas aux nouvelles exigences en question. Bien sûr, les optométristes qui exercent au sein de ces cabinets sont déjà assujettis à des obligations importantes prévues par le Code des professions, le Code de déontologie des optométristes et d’autres règlements, que ce soit en matière de tenue de dossier ou de confidentialité des dossiers. Toutefois, le projet de loi 64, sans compter d’autres initiatives législatives et réglementaires en cours d’élaboration dans le secteur de la santé, pourrait venir ajouter de nouvelles obligations, comme celles-ci (à titre indicatif et non exhaustif) :
- Responsabilité accrue pour le plus haut dirigeant de l’entreprise, par exemple un optométriste agissant comme président d’une société par actions exploitant un cabinet;
- Obligation d’avoir des politiques et pratiques encadrant la gouvernance des renseignements personnels, comme pour la conservation et la destruction des renseignements collectés, les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements et un processus de traitement des plaintes;
- Meilleure gestion des « incidents de confidentialité » (utilisation ou communication non autorisée, perte ou autre atteinte liée à un renseignement personnel) avec la création d’un registre de ces incidents et une déclaration obligatoire à la personne concernée et auprès de la Commission d’accès à l’Information lorsqu’il en découle un risque sérieux pour cette personne;
- Plus d’information, de transparence et de droits pour les patients, avec des exigences accrues au chapitre du consentement (manifeste, libre et éclairé et demandé en termes simples et clairs en dehors de toute autre information, etc.) et des droits à la rectification des décisions fondées sur un traitement automatisé, à l’effacement et à l’oubli, à la portabilité des données, etc.
À cela, il faut ajouter les exigences qui pourraient éventuellement accompagner l’intégration des optométristes parmi les intervenants qui peuvent utiliser le Dossier santé Québec (DSQ), qui est un projet que l’Ordre suit avec attention.
En définitive, ce n’est qu’une question de temps avant que les exigences ne soient rehaussées en matière de protection des renseignements personnels. L’Ordre invite ses membres et les autres acteurs du secteur oculovisuel à suivre avec une grande attention les développements en cours en cette matière et à s’y préparer le mieux possible (mise à jour des systèmes et processus informatiques, sensibilisation du personnel, etc.). Bien sûr, le moment venu, quand les nouvelles exigences seront précisées, l’Ordre avisera ses membres à ce sujet.